央廣網(wǎng)北京7月18日消息（記者唐明 實(shí)習(xí)記者高芳婧）據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道，時(shí)值暑假，扶不起的12306又被曝出存在安全漏洞。

　　在烏云漏洞平臺(tái)上，一位匿名人士曝光12306漏洞稱(chēng)：“12306手機(jī)端APP 每次請(qǐng)求服務(wù)器都由手機(jī)調(diào)用數(shù)據(jù)庫(kù)，根據(jù)傳入的數(shù)據(jù)來(lái)生成一個(gè)加密字串用于提交服務(wù)器驗(yàn)證是否非法。目前這種算法已經(jīng)泄露，以致可能會(huì)有人利用這種算法軟件模擬手機(jī)端來(lái)非法囤積車(chē)票。

　　換句話(huà)說(shuō)，黃牛破解漏洞以后，一個(gè)人就可以把整節(jié)車(chē)廂的票買(mǎi)下來(lái)。

　　對(duì)此，《天下公司》打電話(huà)向12306的客服進(jìn)行求證，但是客服表示還沒(méi)有聽(tīng)說(shuō)這個(gè)消息。

　　12306：咱們現(xiàn)在還沒(méi)有聽(tīng)說(shuō)您說(shuō)的這個(gè)事情，沒(méi)有這個(gè)通知。

　　360的網(wǎng)絡(luò)安全專(zhuān)家安揚(yáng)表示12306客戶(hù)端的算法泄漏，意味著“黃牛”可以用電腦軟件，模擬多部手機(jī)多賬號(hào)進(jìn)行購(gòu)票操作，黑客通過(guò)軟件漏洞搶到大量的票，妨礙到了正常人購(gòu)票。

　　安揚(yáng)：12306的手機(jī)客戶(hù)端它有一個(gè)限制就是同一臺(tái)設(shè)備，同一個(gè)時(shí)間只能登陸一個(gè)賬號(hào)，限制的方法是根據(jù)設(shè)備的ID和時(shí)間戳，經(jīng)過(guò)一個(gè)算法算出校驗(yàn)值跟服務(wù)器驗(yàn)證，驗(yàn)證通過(guò)之后就可以進(jìn)行操作。因?yàn)樗惴�沒(méi)有做相關(guān)的保護(hù)，因而可以被黑客逆向出來(lái)，也可以被黑客直接拿來(lái)使用。也就是說(shuō)黑客可以通過(guò)逆向的算法，在電腦上用軟件來(lái)模擬多部手機(jī)、多個(gè)賬號(hào)來(lái)登陸，以此來(lái)?yè)尨罅康钠�。本�?lái)應(yīng)該屬于其他人的票都被票販子搶光了。

　　《天下公司》從一些技術(shù)博客上了解到，關(guān)于12306手機(jī)端算法的分析文章已發(fā)布超過(guò)半年時(shí)間，這些漏洞很可能被不法分子利用制作刷票插件，掠奪車(chē)票資源，正常用戶(hù)在春運(yùn)等高峰期購(gòu)票會(huì)更加困難。

　　12306鐵路購(gòu)票系統(tǒng)這個(gè)花了幾億人民幣建成的項(xiàng)目已經(jīng)不是第一次出現(xiàn)這樣的漏洞了，從2011年系統(tǒng)誕生到現(xiàn)在，三年左右的時(shí)間不斷出現(xiàn)各種問(wèn)題。之前就有熟知鐵路退票流程的“黃�！�，用自己和親友的身份證購(gòu)買(mǎi)多張車(chē)票，物色到買(mǎi)主后再選擇退票，并立即用買(mǎi)主身份證“秒殺刷票”，通過(guò)這種銜接極快的“一退一買(mǎi)”，火車(chē)票就順利地從票販子手中變成了旅客的車(chē)票。

　　不僅如此，因?yàn)?2306網(wǎng)站并沒(méi)有與公安系統(tǒng)聯(lián)網(wǎng)，無(wú)法對(duì)身份證號(hào)等信息進(jìn)行審核，因此12306網(wǎng)站無(wú)法檢測(cè)身份信息真?zhèn)�。所以在任何一種瀏覽器上，都可以用假身份證號(hào)碼和任意編造的諸如“金剛葫蘆娃”、“女神”等網(wǎng)名成功購(gòu)票。

　　對(duì)于這些漏洞，網(wǎng)絡(luò)安全專(zhuān)家安揚(yáng)表示修復(fù)這些漏洞并不需要很大的成本。

　　安楊：漏洞的解決不需要太大的成本，因?yàn)橹皇切枰�更新一下客�?hù)端來(lái)修復(fù)漏洞，也就是更新一下算法，讓票販子大量囤積車(chē)票的手段失效。

　　其實(shí)12306也在做修復(fù)。此前，針對(duì)各種搶票軟件頻繁出現(xiàn)的情況，12306還推出了升級(jí)之后的動(dòng)態(tài)驗(yàn)證碼。結(jié)果卻由于辨別難度偏高，用戶(hù)體驗(yàn)不佳，被網(wǎng)民調(diào)侃像畢加索的抽象畫(huà)。

　　網(wǎng)絡(luò)安全專(zhuān)家安揚(yáng)表示出現(xiàn)問(wèn)題是在所難免的，但是就這次的問(wèn)題來(lái)看，的確是12306的工作人員安全意識(shí)有些薄弱了。

　　安楊：12306也不可避免會(huì)出現(xiàn)這樣的問(wèn)題，但是僅就這個(gè)漏洞來(lái)判斷，可能是開(kāi)發(fā)人員的安全意識(shí)比較薄弱，因?yàn)樗�把算法放在�?kù)里沒(méi)有進(jìn)行任何保護(hù)，實(shí)際上還是需要不斷強(qiáng)化安全意識(shí)，對(duì)產(chǎn)品做更嚴(yán)格的安全審計(jì)，然后再發(fā)布出來(lái)，這樣可能會(huì)更好。